Cos'è la Sicurezza del cloud computing (Cloud computing security)?
- Glossario IAM
- Cos'è la Sicurezza del cloud computing (Cloud computing security)?
La sicurezza del cloud computing, detta anche sicurezza del cloud, è un termine generico che si riferisce alle tecnologie, ai processi e ai controlli utilizzati per proteggere le infrastrutture, i servizi e le applicazioni del cloud, nonché i dati memorizzati o elaborati nel cloud.
Che cos'è il cloud computing?
Prima di addentrarci nelle specifiche della sicurezza del cloud, dobbiamo innanzitutto capire cos'è il cloud computing.
In un ambiente dati tradizionale, un'organizzazione possiede e gestisce il proprio hardware di back-end e altre infrastrutture, in loco o in un centro dati (quest'ultimo è noto come "cloud privato"). Ciò significa che l'organizzazione è responsabile della configurazione, della manutenzione e della protezione di ogni cosa, server e hardware compresi.
In un ambiente di cloud computing, un'organizzazione "affitta" essenzialmente l'infrastruttura cloud da un fornitore di servizi cloud. Quest'ultimo possiede e gestisce il centro dati, tutti i server e l'altro hardware e tutta l'infrastruttura sottostante, come i cavi sottomarini. In questo modo l'organizzazione non deve occuparsi della manutenzione e della sicurezza dell'infrastruttura cloud e ottiene molti altri vantaggi, come la facile scalabilità e i modelli di prezzo pay-as-you-go.
Non tutti i servizi di cloud computing sono uguali. Esistono tre tipi principali di servizi cloud e le organizzazioni moderne li utilizzano tutti in combinazione:
Software-as-a-Service (SaaS) è il tipo più comune di servizio cloud. Quasi tutti utilizzano applicazioni SaaS (app), anche inconsapevolmente. Un prodotto SaaS viene fornito tramite Internet e vi si accede tramite un'applicazione mobile, un'applicazione desktop o un browser web. Le applicazioni SaaS includono di tutto, dalle applicazioni per i consumatori come Gmail e Netflix, alle soluzioni aziendali come Salesforce e la suite per ufficio Google Workspace.
Infrastructure-as-a-service (IaaS) è un servizio cloud rivolto principalmente alle organizzazioni, anche se gli appassionati di tecnologia possono acquistare un servizio IaaS per uso personale. Il fornitore di servizi cloud fornisce servizi di infrastruttura, come server, storage, networking e virtualizzazione, mentre il cliente gestisce il sistema operativo e tutti i dati, le applicazioni, il middleware e i runtime. Quando si parla di "cloud pubblico", di solito ci si riferisce a IaaS. Tra gli esempi di fornitori di cloud pubblico ci sono i tre "big" del settore: Amazon Web Services (AWS), Google Cloud Platform (GCP) e Microsoft Entra ID (Azure).
Le soluzioni Platform-as-a-service (PaaS) sono rivolte principalmente agli sviluppatori. Il cliente si occupa delle applicazioni e dei dati, mentre il cloud provider gestisce tutto il resto, compresi il sistema operativo, il middleware e il runtime. In altre parole, le soluzioni PaaS offrono agli sviluppatori un ambiente pronto all'uso in cui possono costruire, distribuire e gestire le applicazioni senza doversi preoccupare di aggiornare il sistema operativo o il software. Esempi di PaaS sono AWS Elastic Beanstalk, Heroku e Google App Engine. In genere, le soluzioni PaaS vengono utilizzate insieme alle soluzioni IaaS. Ad esempio, un'azienda può utilizzare AWS per l'hosting e AWS Elastic Beanstalk per lo sviluppo di applicazioni.
Per comprendere al meglio la sicurezza del cloud è fondamentale capire quali sono le responsabilità del cloud provider e quali quelle del cliente.
Cos'è la sicurezza del cloud?
La sicurezza del cloud si basa sul cosiddetto modello di responsabilità condivisa. In questo modello:
- Il cloud provider è responsabile della sicurezza del cloud, ovvero del suo centro dati fisico, di altre risorse come i cavi sottomarini e dell'infrastruttura logica del cloud.
- La vostra organizzazione è responsabile della sicurezza nel cloud, ovvero delle applicazioni, dei sistemi e dei dati che risiedono nel cloud.
Si tratta di un'operazione simile all'affitto di un'unità di self-storage. Il cliente è responsabile della sicurezza degli oggetti all'interno dell'unità, il che significa chiudere a chiave la porta dell'unità e tenere al sicuro le chiavi. La società di self-storage è responsabile della sicurezza dell'intero complesso attraverso misure di controllo come ingressi recintati, telecamere, illuminazione adeguata nelle aree comuni e guardie di sicurezza. La società di self-storage è responsabile della sicurezza del centro di stoccaggio, ma voi siete responsabili della sicurezza della vostra unità.
Come funziona la sicurezza del cloud?
Che si tratti di un'applicazione SaaS, dell'implementazione di una soluzione IaaS (cloud pubblico) o di una piattaforma PaaS per sviluppatori, la sicurezza del cloud si basa in larga misura sulla gestione degli accessi e dell'identità (IAM) e sulla prevenzione delle perdite di dati (DLP); in altre parole, impedire a persone non autorizzate di accedere al vostro servizio cloud, e quindi ai vostri dati.
Riprendendo l'esempio del self-storage, se lasciate incustodita la chiave del vostro deposito e qualcuno la ruba e la usa per accedere alla vostra unità, non sono stati i controlli di sicurezza del fornitore del deposito a fallire, ma i vostri. Allo stesso modo, se utilizzate una password debole e facilmente individuabile per proteggere il vostro account Gmail o la console di amministrazione di GCP, e una persona malintenzionata la compromette, il fallimento della sicurezza è da imputare a voi, non a Google.
Oltre a prevenire l'accesso non autorizzato e il furto di dati, la sicurezza del cloud cerca anche di prevenire la perdita o il danneggiamento accidentale dei dati per errore umano o negligenza, di garantire il recupero dei dati in caso di perdita e di rispettare le leggi sulla privacy degli utenti quali la HIPAA, che vieta l'accesso non autorizzato alle cartelle cliniche private. La sicurezza del cloud è fondamentale per la risposta agli incidenti di sicurezza, il disaster recovery e la pianificazione della continuità aziendale.
Tra le misure di sicurezza del cloud più comuni troviamo:
- Controlli IAM quali il controllo degli accessi in base al ruolo (RBAC) e l'accesso con privilegi minimi, ovvero i dipendenti hanno accesso solo alle applicazioni e ai dati di cui hanno bisogno, e a nient'altro, per svolgere il proprio lavoro.
- Strumenti DLP che identificano i dati sensibili, li classificano, ne monitorano l'utilizzo e ne impediscono l'uso improprio, ad esempio impedendo agli utenti finali di condividere informazioni sensibili al di fuori delle reti aziendali.
- Crittografia di dati sia in transito che a riposo
- Configurazione e manutenzione sicura del sistema
La sicurezza del cloud comporta dei rischi?
Ecco alcune delle principali sfide e dei principali rischi associati alla sicurezza del cloud.
- Il cloud crea una superficie d'attacco molto ampia senza perimetro di rete. Uno dei principali errori commessi dalle aziende durante la migrazione al cloud è pensare di poter semplicemente trasferire tutti gli strumenti e i criteri di sicurezza attuali. Sebbene molti aspetti della sicurezza del cloud rispecchino le controparti on-premise, la protezione di un ambiente cloud è molto diversa da quella dell'hardware on-premise, poiché il cloud non ha un perimetro di rete definito.
- Può esserci una mancanza di visibilità nel cloud, soprattutto negli ambienti di dati altamente complessi di oggi. Sono rare le organizzazioni che utilizzano un solo cloud pubblico. La maggior parte delle organizzazioni utilizza almeno due cloud pubblici (da qui il nome di ambiente multi-cloud) o combinano cloud pubblici con infrastrutture on-premise (da qui il nome di ambienti cloud ibridi). Purtroppo ogni ambiente cloud è dotato di propri strumenti di monitoraggio nativi, il che rende difficile per amministratori IT e personale DevOps ottenere un quadro generale di quanto accade nell'ambiente dei dati.
- La proliferazione dei carichi di lavoro è un altro problema di visibilità, anche per le organizzazioni che utilizzano un solo cloud pubblico. Le macchine virtuali (VM) e i container sono facili da avviare, il che significa che possono proliferare molto rapidamente. Oltre a compromettere la sicurezza, le macchine virtuali e i container inutilizzati fanno lievitare i costi dei servizi cloud.
- Lo Shadow IT, ovvero l'utilizzo da parte dei dipendenti di applicazioni che non sono state verificate dal personale addetto alla sicurezza, è un altro problema del cloud.
- Le aziende possono avere problemi di compatibilità con i sistemi e i software legacy, in particolare con le applicazioni line-of-business (LOB) che non possono essere realisticamente sostituite o riadattate per il cloud.
- Anche le configurazioni errate del cloud causano problemi, come ad esempio impostare involontariamente una cartella del cloud in modo che sia visibile al pubblico quando contiene dati sensibili.
Migliori strategie per la sicurezza del cloud computing
Assicuratevi di comprendere appieno il modello di responsabilità condivisa e di sapere di cosa la vostra organizzazione è o non è responsabile a livello di sicurezza. Può sembrare ovvio, ma stabilire chi è responsabile di cosa può essere complicato, soprattutto negli ambienti ibridi.
Uno dei vantaggi del cloud computing è che si può accedere alle risorse ovunque e da qualsiasi dispositivo. Tuttavia, dal punto di vista della sicurezza, ciò significa che ci sono più endpoint da proteggere. Gli strumenti di sicurezza degli endpoint e di gestione dei dispositivi mobili consentono di applicare delle regole di accesso e di distribuire soluzioni di verifica degli accessi, firewall, antivirus, crittografia dei dischi e altri strumenti di sicurezza. Altre migliori strategie per il cloud computing sono:
- Crittografate tutti i dati archiviati o elaborati nel cloud, sia in transito che a riposo
- Eseguite una scansione dell'ambiente alla ricerca di vulnerabilità e applicate le patch non appena possibile.
- Eseguite backup periodici dei dati in caso di attacco ransomware o situazioni gravi o di calamità.
- Registrate e monitorate tutte le attività degli utenti e della rete in tutto l'ambiente di dati.
- Configurate le impostazioni del cloud con molta attenzione. Una buona regola è che raramente si vogliono lasciare le impostazioni predefinite così come sono. Sfruttate al massimo le impostazioni e gli strumenti di sicurezza del vostro provider cloud e tenetevi aggiornati su nuovi strumenti e miglioramenti.
- Implementate una regola di sicurezza zero-trust, completa di strumenti e controlli avanzati per la segmentazione della rete e la gestione degli accessi e delle identità (IAM), incluso l'accesso in base al ruolo, l'accesso con privilegi minimi, le password complesse, l'approvazione dei dispositivi e l'autenticazione multifattoriale (AMF).